URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID12
Нить номер: 3976
[ Назад ]
Исходное сообщение
"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено Andrey , 06-Апр-06 11:02 
После установки новой Фри (5.4) и сквида, последний отказывается пускать кого бы то ни было в интернет. Конфиг упростил до предела. Даже сам себя не пускает. Ошибка 403 - доступ запрещён. Он что, вообще acl не видит? В чём может быть проблема? Какие опции должны быть включены?
Вот конфиг:
http_port 127.0.0.1:3128
cache_dir ufs /usr/local/squid/cache  20 16 256
cache_access_log /usr/local/squid/logs/access.log
cache_log /usr/local/squid/logs/cache.log
cache_store_log /usr/local/squid/logs/store.log
dns_nameservers 10.2.2.253
acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl localnet src 10.2.2.0/255.255.255.0
acl CONNECT method CONNECT
http_access allow localnet
http_access allow to_localhost
http_reply_access allow all
http_access allow all
httpd_accel_host virtual
httpd_accel_port 80,8080
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
error_directory /usr/local/etc/squid/errors/Russian-1251
coredump_dir /usr/local/squid/cache
Содержание
Сообщения в этом обсуждении
"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено Андрей Слободяник , 06-Апр-06 12:57 
>http_port 127.0.0.1:3128

Как обычно, включить дебаг, посмотреть логи.
Не знаю, как в фре делается прозрачное проксирование, достаточно только на локалхосте слушать?

"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено ipmanyak , 06-Апр-06 13:06 
скорее всего у вас не до конца настроено прозрачное проксирование http://squid.opennet.ru
один из вариантов
1. пересобрать ядро, как минимум со следующими опциями
options         IPFIREWALL
options         IPFIREWALL_FORWARD
2. в конфиге IPFW сказать
add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
(подразумевается, что squid живет на фре с адресом  192.168.0.1 на своем дефолтном порту 3128)
3. в squid.conf прописать следующие строки
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on  

"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено Andrey , 06-Апр-06 14:56 
>скорее всего у вас не до конца настроено прозрачное проксирование http://squid.opennet.ru
>один из вариантов
>1. пересобрать ядро, как минимум со следующими опциями
>options         IPFIREWALL
>options         IPFIREWALL_FORWARD
>2. в конфиге IPFW сказать
>add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
>(подразумевается, что squid живет на фре с адресом  192.168.0.1 на своем
>дефолтном порту 3128)
>3. в squid.conf прописать следующие строки
>httpd_accel_host virtual
>httpd_accel_port 80
>httpd_accel_with_proxy on
>httpd_accel_uses_host_header on
>
1. Firewall и форвардинг в ядре включены.
2. В конфиге файрвола только 2 строки :) (для наглядности):
00100   39   3853 fwd 127.0.0.1,3128 tcp from 10.2.2.0/24 to any dst-port 80,8080
65500 5647 704430 allow ip from any to any
65535    0      0 deny ip from any to any
П.3 есть в конфиге сквида.
Сама ошибка 403, которая выдаётся как клиенту, так и самой фре (скажем, после lynx), явно идёт от сквида. Ведь "Настройка контроля доступа не позволяет .. бла-бла-бла..." - блокировка от прокси. Или я не прав. На прошлой фре 4.2 эта ошибка вылезала когда юзер пытался пролезть на запрещённые сайты, описаные в файле. Всё было нормально. Но воткнуть прошлый конфиг сквида на новую фрю не получается. Всё время идёт запрет.
"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено lexa , 06-Апр-06 23:17 
>>скорее всего у вас не до конца настроено прозрачное проксирование http://squid.opennet.ru
>>один из вариантов
>>1. пересобрать ядро, как минимум со следующими опциями
>>options         IPFIREWALL
>>options         IPFIREWALL_FORWARD
>>2. в конфиге IPFW сказать
>>add fwd 192.168.0.1,3128 tcp from 192.168.0.0/24 to any 80
>>(подразумевается, что squid живет на фре с адресом  192.168.0.1 на своем
>>дефолтном порту 3128)
>>3. в squid.conf прописать следующие строки
>>httpd_accel_host virtual
>>httpd_accel_port 80
>>httpd_accel_with_proxy on
>>httpd_accel_uses_host_header on
>>
>1. Firewall и форвардинг в ядре включены.
>2. В конфиге файрвола только 2 строки :) (для наглядности):
>00100   39   3853 fwd 127.0.0.1,3128 tcp from 10.2.2.0/24
если from 10.2.2.0/24 - то чего это он будет заворачивать lynx с консоли ?
>to any dst-port 80,8080
>65500 5647 704430 allow ip from any to any
>65535    0      0 deny
>ip from any to any
>П.3 есть в конфиге сквида.
>Сама ошибка 403, которая выдаётся как клиенту, так и самой фре (скажем,
>после lynx), явно идёт от сквида. Ведь "Настройка контроля доступа не
>позволяет .. бла-бла-бла..." - блокировка от прокси. Или я не прав.
>На прошлой фре 4.2 эта ошибка вылезала когда юзер пытался пролезть
>на запрещённые сайты, описаные в файле. Всё было нормально. Но воткнуть
>прошлый конфиг сквида на новую фрю не получается. Всё время идёт
>запрет.
попробуй написать вместо http_port 127.0.0.1:3128 слезующее http_port <внутренний ip>:3128

"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено Andrey , 07-Апр-06 13:31 
Тогда они фаерволом не пропустятся, ведь там сказано
/sbin/ipfw add 100 fwd 127.0.0.1,3128 tcp from 10.2.2.0/24 to any 80,8080
айпи другой
в итоге:
Looking up lynx.isc.org
Making HTTP connection to lynx.isc.org
Alert!: Unable to connect to remote host.
Если меняю 127.0.0.1 на внутренний ip, возвращаемся к ошибке 403
"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено ichard , 08-Апр-06 01:47 
>Тогда они фаерволом не пропустятся, ведь там сказано
>/sbin/ipfw add 100 fwd 127.0.0.1,3128 tcp from 10.2.2.0/24 to any 80,8080
>айпи другой
>в итоге:
>Looking up lynx.isc.org
>Making HTTP connection to lynx.isc.org
>Alert!: Unable to connect to remote host.
>Если меняю 127.0.0.1 на внутренний ip, возвращаемся к ошибке 403

Лучше поменяй на внутренний + покопайся с правилами для ipfw. Возможно, какие то acl неправильно записаны, раз не пускает тебя...

"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено Andrey , 10-Апр-06 13:14 
Почему на это правило сквид ругается, объясните, плиз! :(
acl test src 10.2.2.71/255.255.255.0

aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.2.2.71/255.255.255.0'
Чем ему не нравится маска?


"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено alex3 , 10-Апр-06 13:24 
>Почему на это правило сквид ругается, объясните, плиз! :(
>acl test src 10.2.2.71/255.255.255.0
>
>aclParseIpData: WARNING: Netmask masks away part of the specified IP in '10.2.2.71/255.255.255.0'
>
>Чем ему не нравится маска?

Потому что ты говоришь - 256 IP с 71-го . Попробуй поставить 10.2.2.1/255.255.255.0

"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено Andrey , 10-Апр-06 13:47 
То же самое с любым ай пи.
Я же хочу в правиле описать одну машину с IP и маской.
На это он не ругается:
acl localnet src 10.2.2.0/255.255.255.0
Стоит прописать любую тачку из подсети 10.2.2.1-10.2.2.254/255.255.255.0 как вылетает ошибка Netmask masks away part of the specified IP.
P.S. Такое ощющение, что он не видит машины из моей сети, поэтому всем даёт запрет.
"Free 5.4 и squid 2.5 stable9 проблема!"
Отправлено alex3 , 10-Апр-06 13:49 
>То же самое с любым ай пи.
>Я же хочу в правиле описать одну машину с IP и маской.
>
>На это он не ругается:
>acl localnet src 10.2.2.0/255.255.255.0
>Стоит прописать любую тачку из подсети 10.2.2.1-10.2.2.254/255.255.255.0 как вылетает ошибка Netmask masks
>away part of the specified IP.
>P.S. Такое ощющение, что он не видит машины из моей сети, поэтому
>всем даёт запрет.

тогда для одного IP попробуй маску 255.255.255.255